Qui a dit que le RGPD ne servait à rien ? Qui a dit qu’il n’était pas vraiment appliqué, et que la mise en conformité n’était qu’une source de couts inutiles pour les PME ?

Le 28 Juillet dernier, la CNIL a condamné la société grenobloise de vente en ligne Spartoo à une amende de 250.000 euros, outre une astreinte de mise en conformité de 250€ par jour de retard à l’issue d’un délai de trois mois à compter de la publication de la décision, pour différents manquements au RGPD.

Ce jugement vient rappeler à tous les acteurs économiques que la mise en conformité RGPD n’est pas un enjeu accessoire, et que les autorités de contrôle ne se montrent pas toujours indulgentes en cas de manquement.

Focus sur cette décision très instructive et qui parlera à tous les acteurs du e-commerce.

1. Une procédure particulière

Tout a commencé il y a plus de deux ans, le 31 mai 2018 : lors d’un contrôle inopiné dans les locaux de la société SPARTOO (faisant peut être suite à une charitable dénonciation), la CNIL découvre que la société SPARTOO, l’un des leaders du marché de la vente de chaussures en ligne en France et en Europe, a une conception très personnelle du droit des données personnelles. Elle constate ainsi, entre autre choses : (i) que les conversations entre les clients et les salariés du service support sont systématiquement enregistrées, sauf opposition expresse du client ; (ii) que les mots de passe des comptes client peuvent ne contenir que 6 caractères, tous de la même catégorie ; (iii) que la société conserve en base active l’ensemble des données de ses clients et prospects depuis 2008, y compris ceux ne s’étant plus connectés depuis 10 ans à leur compte (soit près de 25 millions de personnes) ; et qu’elle ne procède à aucun effacement des données !

A l’issue de ce contrôle, et sans phase de mise en demeure préalable, la CNIL a directement engagé une procédure de sanction en formation restreinte, en notifiant le rapport de son rapporteur en date du 23 septembre 2019, après une audition de SPARTOO le 17 Juin 2019. On peut noter à cet égard qu’il s’est quand même écoulé un délai d’un an entre la première visite de contrôle, et la reprise de la procédure, délai que la société aurait été bien inspirée de mettre à profit pour engager sa mise en conformité complète, notamment au regard des premiers manquements constatés !

Une fois la procédure enclenchée, et comme souvent lors des procédures devant la CNIL, tout s’est enchainé très vite : réponse écrite du conseil de SPARTOO le 23 octobre, réponse du rapporteur le 7 novembre, nouvelle réponse de SPARTOO le 22 novembre et audition des parties le 28 novembre 2019. On voit ici, une nouvelle fois, que les délais de cette procédure sont extrêmement courts (1 mois pour répondre, puis 15 jours, puis audience dans les 8 jours), ce qui ne manque pas d’interroger sur le respect effectif des droits de la défense, tant il peut être complexe d’élaborer une défense de qualité dans des délais aussi brefs.

C’est la suite qui est plus inhabituelle puisque, pour la première fois, la CNIL a utilisé les nouvelles dispositions du RGPD pour se déclarer « chef de file européen » dans ce dossier, la société SPARTOO ayant en effet des filiales en Italie, Portugal et Allemagne.

Elle a ainsi notifié son projet de rapport aux trois autorités compétentes, et recueilli les observations, « dont elle a tenu compte », nous dit-elle, mais qu’elle n’a pas jugé utile de transmettre au rapporteur ni à la société, ce qui interroge là encore sur la loyauté de la procédure…

Il n’en reste pas moins que cette décision, longue de 11 pages, est particulièrement détaillée et riche d’enseignements sur de nombreux aspects du droit des données personnelles.

Sans viser l’exhaustivité, nous présenterons ici quelques points pour lesquels SPARTOO a été épinglée par la CNIL, et qui peuvent concerner tout responsable de traitement, en particulier dans le e-commerce.

2. Enregistrement des appels vs minimisation des données

L’un des griefs reprochés à SPARTOO concernait l’enregistrement quasi-systématique des appels au service client de la société. Si le client pouvait effectivement s’y opposer, cela n’était pas le cas des salariés. Selon SPARTOO, ce traitement était nécessaire pour assurer la formation des salariés, une sélection de ces enregistrements étant ensuite revu par les managers. Cet argument n’a pas convaincu la CNIL, selon laquelle ce traitement des appels téléphoniques de ces salariés, n’était pas nécessaire à la finalité annoncée (la formation des salariés), et que leur caractère systématique était également excessif au regard de cette même finalité, et du caractère particulièrement intrusif du procédé.

On voit ainsi que la finalité choisie et énoncée par le responsable du traitement a une importance décisive, puisqu’elle va déterminer si le traitement mis en place, ainsi que le volume, la nature ou le type de données collectées, sont bien adéquats, pertinents et nécessaires au regard de cette finalité (art.5-1 c) RGPD).

En l’espèce, on peut se demander si une autre finalité (se prémunir contre des litiges clients en assurant un historique des réclamations par ex), n’aurait pas été plus pertinente, en évitant de se focaliser sur l’aspect intrusif du dispositif pour les salariés concernés.

Par ailleurs, SPARTOO est également sanctionnée pour avoir conservé, pendant des délais allant de 24h à 15 jours, les numéros de carte bancaire communiqués oralement par ses clients. La Commission rappelle en effet que ces données, particulièrement sensibles, n’ont plus d’utilité une fois la transaction passée, et doivent donc immédiatement effacées de toute base de données. SPARTOO avait argué du cout d’un tel dispositif d’effacement ; gageons que la société saura consentir les investissements nécessaires pour éviter à l’astreinte d’être liquidée à son encontre…

3. Durée de conservation des données clients/prospects : un ferme rappel à l’ordre

L’un des points les plus intéressants de cette décision concerne probablement la durée de conservation des données de clients et prospects dans la base de données SPARTOO.

Il convient de rappeler à cet égard que le RGPD impose de la durée de traitement des données personnelles « n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont conservées » (art.5-1 e).

La détermination de cette durée « adéquate » est souvent un exercice difficile, même si la CNIL a émis un certain nombre de normes et référentiels concernant les traitements les plus courants, lesquels distinguent en outre la notion de « traitement actif », de celui d’archivage intermédiaire, et enfin celle d’archivage définitif, ou d’effacement ; dont l’anonymisation peut être une alternative.

Dans le cas de SPARTOO, ces documents n’avaient manifestement pas été portés à la connaissance du service informatique puisque la visite de contrôle avait permis de constater que plus de 100.000 comptes étaient encore en base, alors qu’ils étaient inactifs depuis 2008, et que pas moins de 5.700.000 comptes étaient inactifs depuis 2015 ; sans compter les 25.000.000 de prospects sans compte actif depuis 2015 !

La société avait ainsi benoîtement reconnu ne procéder à aucune « purge » des données, conservant l’ensemble des données relatives aux comptes et aux prospects de la société ; sans aucun mécanisme d’effacement ou d’archivage.

Lors de la sa seconde audition en Juin 2019, la société avait néanmoins informé le rapporteur avoir fixé une durée de conservation de 5 ans en base active pour l’ensemble de ses données clients ou prospects, à compter de la dernière « activité » de la personne concernée (ouverture du compte, d’un email, etc).

Si le nombre de comptes clients et de prospects de la société SPARTOO peut faire rêver plus d’un opérateur de e-commerce, la collecte de tels volumes de données personnelles ne va pas sans une certaine rigueur dans leur gestion, et la mise en place d’une politique stricte de conservation.

Or, alors même que la société SPARTOO, sans doute consciente de l’énormité du manquement, avait réduit ses délais de conservation, la CNIL les a jugés excessifs au regard de la finalité admise, à savoir la promotion de ses produits et services. Ce délai de 5 ans était d’autant plus excessif que SPARTOO admettait ne plus relancer ses clients ou prospects au bout d’une période d’inactivité de deux ans ! Dans ce cas, pourquoi conserver ces données si longtemps, au risque de les exposer à un acte de piratage ou d’intrusion, dont ces acteurs de e-commerce sont souvent les cibles ?

Le manquement à l’article 5-1 e) est donc caractérisé.

La CNIL rappelle également à cette occasion que le délai de deux ans pour conserver les données des comptes inactifs, et en faire un traitement marketing, est parfaitement conforme à ses préconisations, mais doit courir à compter du « dernier contact émanant du prospect », et qu’il doit s’agir « d’un évènement permettant de démontrer l’intérêt de la personne pour le message reçu, tel qu’un clic sur un lien hypertexte contenu dans un courriel. Cependant, la seule ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect, dans la mesure où celui-ci peut être ouvert involontairement du fait des modalités de fonctionnement du logiciel de messagerie utilisé ou par erreur ».

Ou l’on voit que c'est important de retenir les délais, mais c’est aussi essentiel de connaitre leur point de départ !

Enfin, la CNIL juge que le mécanisme de « pseudonymisation » mis en œuvre par SPARTOO pour les données « archivées » ne répond pas aux exigences d’anonymisation de l’article 5-1 e). SPARTOO plaidait le fait que ce mécanisme lui permettait de « réactiver » plus facilement un compte d’un client qui serait revenu plus de 5 ans après, mais la CNIL a répondu fermement que la conservation des données ne pouvait en aucun cas être illimité :

Les données personnelles des anciens clients doivent être définitivement supprimées à l’issue de l’expiration du délai de conservation de celles-ci en base active ou en base archive, une fois les obligations légales expirées et ne peuvent être conservées pour une hypothétique utilisation future.

En d’autres termes, lorsqu’une donnée est supprimée, elle doit l’être définitivement, ou bien être réellement anonymisée, pour empêcher toute réidentification de la personne.

4. L’information des personnes concernées : l’importance d’une base légale adéquate

Un autre grief émis à l’encontre de SPARTOO concernait le manque d’information délivré aux clients et aux salariés.

Si le grief contre les salariés est connu, celui concernant la politique de confidentialité est là encore très instructif.

La CNIL a en effet sanctionné SPARTOO, sur le fondement de l’article 13 du RGPD, pour une information incomplète et erronée sur certains items de cet article.

D’une part, la sous-traitance des appels téléphoniques vers un centre d’appels hors UE (à Madagascar) n’était pas mentionnée dans le document.

D’autre part, et c’est le plus intéressant, SPARTOO n’avait pas été assez précise dans la mention des « bases légales » de ces différents traitements, puisqu’elle avait choisi celle du consentement pour l’ensemble des traitements.

Or, si cette base légale est en effet la plus protectrice pour les personnes concernées, qui peuvent révoquer leur consentement à tout moment, elle n’était pas adaptée aux traitements de lutte contre la fraude (obligation légale), ou encore aux données clients (exécution d’un contrat).

Cette décision vient rappeler, à l’instar de ce qu’avait décidé l’autorité de contrôle grecque le 30 Juillet 2019 à l’encontre du cabinet Price Waterhouse Coopers pour le traitement des données de ses salariés ; que le choix d’une base légale « claire et précise », et surtout de la bonne base légale, dans les documents d’information, est un élément essentiel de l’information des personnes concernées. Se tromper sur ce choix, c’est s’exposer à une sanction pécuniaire !

5. Mots de passe faibles et envoi des CB en clair : la grande insécurité !

Enfin, la décision condamne SPARTOO pour manquement à son obligation de sécurité des données personnelles, un motif très classique des décisions de sanction de la CNIL.

Mais, en l’espèce, il faut reconnaitre que les motifs d’inquiétude étaient plus que sérieux : l’instruction avait en effet permis de révéler que les comptes clients utilisaient des mots de passe dont la longueur minimum n’était que de 6 caractères, qui pouvaient tous être de la même nature. De même, SPARTOO n’hésitait pas à demander à ses clients, lors que le paiement ne pouvait être validé en ligne, un scan de leur carte bancaire, et de l’envoyer en clair depuis leur messagerie personnelle !

Mais ou était passé le service informatique de SPARTOO ?...

Face à de tels manquements assez invraisemblables, la sanction était inévitable.

SPARTOO eut beau plaider, avec un certain humour, que les mots de passe courts et plus simples étaient « moins prévisibles pour l’attaquant », la CNIL lui a rappelé les préconisations de l’ANSSI, selon lesquelles ’ un bon mot de passe est avant tout un mot de passe fort, c’est à dire difficile à retrouver même à l’aide d’outils automatisés. La force d’un mot de passe dépend de sa longueur et du nombre de possibilités existantes pour chaque caractère le composant. En effet, un mot de passe constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres est techniquement plus difficile à découvrir qu’un mot de passe constitué uniquement de minuscules.

Quant aux numéros de carte bancaire, la CNIL rappelle qu’il s’agit de données très sensibles, qui ne doivent par circuler librement sur le réseau, sans protocole sécurisé, et encore moins être conservés 6 mois en base active, comme le faisait la société.

Clairement, ces failles de sécurité ont fait office de « bouquet final » pour la CNIL, qui en a tiré toutes les conclusions en prononçant une amende assez salée de 250.000 euros, mais néanmoins inférieure (a priori) au seuil de 4% du CA mondial prévu pour ce type de manquements.

La CNIL prononce également une astreinte de 250 euros par jour de retard, en laissant un dernier délai de trois mois à SPARTOO pour se mettre en conformité et remédier à ces manquements.

Ce qui nous promet un nouvel épisode dans cette affaire, que nous suivrons avec attention !

Cette décision est ainsi riche d’enseignements :

• L’information des clients et des salariés quant à la gestion de leurs données personnelles est essentielle, et doit être complète, loyale et correcte ;
• Le choix des bases légales et des finalités est loin d’être anodin, et peut avoir des conséquences financières ;
• L’entreprise traitant des données personnelles doit mettre en œuvre des mesures de sécurité adaptées à la sensibilité de chaque type de donnée traitée ;
• La période de tolérance est terminée et, après une petite parenthèse « Covid », la CNIL semble reprendre et intensifier ses contrôles

Le Cabinet Leclère & Louvier Avocats reste à votre disposition pour vous accompagner dans vos démarches de mise en conformité RGPD.

Article rédigé par Josquin Louvier, Avocat Associé